Date de la divulgation (source) : 20 septembre 2023 (Avis de sécurité publié par le fournisseur)
Date de signalement comme activement exploité (source) : 13 janvier 2025
CVE-2023-48365 est une vulnérabilité critique affectant Qlik Sense Enterprise pour Windows avec un score CVSS de 9.9. Toutes les versions antérieures et incluses sont concernées :
- Août 2023 Patch 1
- Mai 2023 Patch 5
- Février 2023 Patch 9
- Novembre 2022 Patch 11
- Août 2022 Patch 13
- Mai 2022 Patch 15
- Février 2022 Patch 14
- Novembre 2021 Patch 16
Si elle est exploitée avec succès, cette vulnérabilité peut conduire à une compromission du serveur exécutant le logiciel Qlik Sense, y compris l'exécution de code à distance non authentifié (RCE).
Cette vulnérabilité a été initialement corrigée par Qlik il y a plus d'un an, en septembre 2023, où l'entreprise a averti la communauté que cette vulnérabilité pouvait être ciblée par des acteurs malveillants. Malgré cela, cette vulnérabilité vient d'être ajoutée à la liste des vulnérabilités exploitées connues (KEV) de la CISA cette semaine, le 13 janvier 2025.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2023-48365 - CVSS 9.9 (critique) - attribué par NVD |
| Description de la vulnérabilité |
En raison d'une mauvaise validation des en-têtes HTTP, un attaquant distant est en mesure d'élever ses privilèges en tunnelant les requêtes HTTP, ce qui lui permet d'exécuter des requêtes HTTP sur le serveur dorsal qui héberge l'application de référentiel. |
| Date de la divulgation |
20 septembre 2023 (Avis de sécurité publié par le fournisseur) |
| Actifs touchés |
Qlik Sense Enterprise pour Windows |
| Versions de logiciels vulnérables |
Toutes les versions antérieures et incluses sont concernées :
- Août 2023 Patch 1
- Mai 2023 Patch 5
- Février 2023 Patch 9
- Novembre 2022 Patch 11
- Août 2022 Patch 13
- Mai 2022 Patch 15
- Février 2022 Patch 14
- Novembre 2021 Patch 16
|
| PoC disponible ? |
Aucun exploit public n'a été observé au moment de la rédaction du présent document. |
| Statut d'exploitation |
Cette vulnérabilité est activement exploitée et a été ajoutée à CISA KEV le 13 janvier 2025. |
| Statut du patch |
Qlik a publié des correctifs pour chacune des versions concernées dans son avis de sécurité publié en septembre 2023. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 11,185 instances de Qlik Sense exposées en ligne. Une grande partie d'entre elles (26%) sont géolocalisées aux États-Unis. Il convient de noter que toutes les instances observées ne sont pas vulnérables, car nous ne disposons pas de versions spécifiques.
Bien que nous ne soyons pas en mesure de détecter la version directement à partir de nos données d'analyse, les instances exposées affichent souvent des informations sur la version et le type de déploiement à l'adresse URI suivante :
https://[exposed-instance]/resources/autogenerated/product-info.js ?
Veuillez noter que cet URI n'est pas toujours accessible au public sur les instances exposées.
Carte des instances Qlik Sense exposées
Censys Requête de recherche : (Notez que cette empreinte a été récemment déployée et que les résultats peuvent prendre 24 heures pour se propager complètement).
services.software: (vendor="Qlik" and product="Qlik Sense") and not labels: {honeypot, tarpit}
Censys Requête ASM :
host.services.software: (vendor="Qlik" and product="Qlik Sense")
or web_entity.instances.software: (vendor="Qlik" and product="Qlik Sense") and not host.labels: {honeypot, tarpit}
Références
